Търсене
Close this search box.

Иран заплашва критичната инфраструктура на Израел

Критичната инфраструктура на Израел е застрашена от иранска хакерска група, действаща в Ливан.

Партньорството на Иран с въоръжени войнствени групировки в целия Близък изток е добре документирано. По-малко известно е сътрудничеството му с чуждестранни хакери, като „Polonium“ (известна още като „Plaid Rain“), която от 2021 г. насам изглежда действа с единствената цел да атакува Израел.

Според „Майкрософт“ само през пролетта на 2022 г. Polonium е шпионирала над 20 израелски организации в търговски, критични и правителствени сектори, включително транспорт, критично производство, ИТ, финанси, селско стопанство и здравеопазване.

Сега групата изглежда е направила още една стъпка нагоре. На 4 декември Националната кибердирекция на Израел предупреди, че Polonium се е насочила към още критични инфраструктурни сектори, включително вода и енергия. И освен шпионаж, пише дирекцията, „напоследък е установена тенденция за осъществяване на разрушителни атаки“.

Dark Reading се обърна към Министерството на отбраната на Израел за повече подробности, но все още не е получил отговор.

Почеркът на Polonium

От страна, в която има само няколко сравнително тихи APT групи – Volatile Cedar, Tempting Cedar и Dark Caracal – човек може да се изкуши да подцени Polonium.

Но освен констатациите на Microsoft за нейните цели, през октомври 2022 г. изследователи от ESET откриха още над дузина атаки, извършени от същата група, през същата година, в още повече сектори, включително инженерство, право, комуникации, маркетинг, медии, застраховане и социални услуги.

За първоначален достъп Polonium най-често експлоатира устройствата на Fortinet – използвайки изтекли идентификационни данни за Fortinet VPN или чрез CVE-2018-13379, уязвимост в устройствата на Fortinet с оценка CVSS 9.8 „критична“, закърпена още преди появата на групата. За командване и контрол (C2) тя предпочиташе облачни услуги като Microsoft OneDrive, Dropbox и Mega.

Най-важното е, че през първата година от дейността си групата е внедрила не по-малко от седем персонализирани задни врати срещу своите цели, които могат да разгръщат обратни обвивки, да ексфилтрират файлове, да правят снимки на екрани, да регистрират натискания на клавиши, да поемат контрол над уебкамери и др.

И вместо да опаковат тези задни врати като монолит, хакерите ги разделят на фрагменти – малки файлове, всеки с ограничена функционалност. Например един файл с библиотека за динамични връзки (DLL) отговаря за заснемането на екрани, а друг се грижи за качването им на сървър C2. „Идеята е да се разделят функционалностите на различни компоненти, така че отделните компоненти да изглеждат по-малко подозрителни за софтуера за сигурност“, обяснява Матиас Пороли, изследовател на зловреден софтуер в ESET.

Дори когато Polonium разви своите инструменти и тактики през последните месеци, все още се придържаше към тази формула.

„През 2023 г. те са се отдалечили от изпълнимите файлове и DLL файловете и използват скриптови езици за своя зловреден софтуер. Наблюдавахме задни врати на Python, както и задни врати на LUA“, казва Пороли, като отбелязва, че последните са доста необичайни.

„Те все още поставят конфигурацията за своя зловреден софтуер в отделен файл. Това затруднява анализаторите да разберат потока на изпълнение, в случаите, когато анализаторите не разполагат с всички файлове, използвани при атаките“, казва той.

Кибервойната на Иран

На фона на войната в Газа Израел се сблъсква със значително нарастване на кибератаките.

Например три седмици след началото на войната Дирекцията за киберпространството вече е идентифицирала повече от 40 опита за компрометиране на доставчици на цифрови услуги и съхранение на данни. „Наблюдава се увеличение на опитите срещу такива компании и дори инциденти, които са причинили реални щети на няколко компании едновременно“, пише агенцията в предупреждение.

По-големият проблем, обяснява тя, е, че „потенциалът за щети може да достигне и до жизненоважни структури, свързани с тези компании, чиято роля в рутинни и още повече в извънредни ситуации е критична, включително болници, транспортни компании, министерства и др.“

Фактът, че нападателите невинаги са тези, които дърпат конците, само прави защитата срещу тях още по-трудна, казва Мария Кънингам, директор на отдела за изследване на заплахите ReliaQuest. „Русия често е първата национална държава, за която се сещаме тук“, казва тя, въпреки че „интересен начин на действие често се демонстрира от участници в заплахи, приписвани на Северна Корея, които на пръв поглед могат да изглеждат криминални.“

„Това може да осигури правдоподобно отричане за нападателя; за защитника това може да ограничи приписването и, което е по-важно, да попречи на разбирането на това какво може да последва в арсенала на нападателя“, казва тя.

 

Източник: DARKReading

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
Бъдете социални
Още по темата
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!